Denne uken kom en spesielt lærerik – og alarmerende – hendelse innen nettsikkerhet frem i lyset: Rumensk nasjonal vannmyndighet rammet av ransomware-angrep, det vil si Administrația Națională Apele Române organisasjon. Angrepet ble utført ved hjelp av en BitLocker-basert metode, og selv om OT-systemene som kontrollerer vanninfrastrukturen til slutt ikke ble kompromittert, utgjør skaden på IT-miljøet en alvorlig driftsmessig og regulatorisk risiko i seg selv.
I følge tilgjengelig informasjon, omtrent 1000 arbeidsstasjoner ble ubrukelig, og 10 av 11 regionale kontorer ble berørt. GIS-systemer, databaser, e-posttjenester og webservere var nede mens angriperne krevde løsepenger. Denne hendelsen viste nok en gang tydelig at for en organisasjon som driver kritisk infrastruktur, er svikt i IT-systemer alene nok til å sette ytelsen til grunnleggende oppgaver i fare.
En av de viktigste lærdommene fra historien er imidlertid ikke selve angrepet, men måten det skjedde på. Angriperne jobbet ikke med et klassisk, lett gjenkjennelig ransomware, men brukte en legitim systemfunksjon – BitLocker-diskkryptering – som et våpen. Etter infiltrasjon beveget de seg sidelengs i nettverket og aktiverte deretter krypteringen lokalt. Tradisjonelle antivirus- og EDR-løsninger er praktisk talt hjelpeløse i denne situasjonen: de „ser” ikke ekte skadelig programvare, siden en innebygd Windows-funksjon kjører.
Dette er akkurat det scenarioet som reaktiv, signaturbasert beskyttelse er ikke forberedt. Når EDR-varslingen varsler, er dataene allerede kryptert, forretningsdriften har stoppet, og organisasjonen står overfor et valg: betale eller starte en langvarig gjenoppretting. Når det gjelder en institusjon som driver kritisk infrastruktur under NIS2, er dette ikke bare et teknisk, men også et regulatoriske og ansvarsspørsmål også.
Og her kommer det virkelige „hva om”-spørsmålet. virkelig forebyggende, AI-basert endepunktbeskyttelse i dette tilfellet ville han ha intervenert mye tidligere. Dypt instinkt For eksempel tar ikke deres dyplæringsteknologi beslutninger basert på atferdsmønstre eller kjente signaturer, men analyserer heller de matematiske egenskapene til koden og blokkerer angrepet før det utføres. Dette betyr at ukjent 0-dagers ransomware – inkludert angrep som utnytter BitLocker – rett og slett ikke vil nå det punktet hvor det forårsaker skade.
En annen fordel med løsningen er at NGAV og EDR i ett, med en ekstremt lav falsk alarmrate som ikke overbelaster SOC-team, og er i stand til å ta avgjørelser selv i offline-miljøer. Hvis du gjør alt dette i en Stellar Cyber Hvis vi supplerer det med en nettbasert XDR-plattform, vil vi få et komplett bilde av angrepsforsøk ikke bare på endepunktene, men også på nettverks- og serversiden.
Tilfellet med den rumenske vannmyndigheten er et perfekt eksempel på hvordan Hvis BitLocker allerede krypterer, er det for sent. I dette tilfellet finnes det ingen data, intet system, ingen drift – bare krisehåndtering. Med en forebyggende tilnærming er det imidlertid ikke noe datatap, ingen løsepenger og ingen tvungen nedstengning.
Spørsmålet i dag er ikke lenger om en organisasjon er under angrep. Spørsmålet er om Vil vi merke det i tide – eller vil det ikke skje i det hele tatt?. For kritisk infrastruktur og NIS2-berørte organisasjoner er ikke dette en teknologisk luksus, men et grunnleggende krav.